Comment sensibiliser votre conseil d'administration à la sécurité (avant qu'une violation ne rende la question incontournable)

Si vous avez déjà lu l'un de ces articles intitulés « Modèles de rapports destinés aux CISO pour les conseils d'administration » et pensé : « Ah oui, mon conseil d'administration consacrera certainement 25 minutes à mon tableau de bord et me posera des questions complémentaires sur la vitesse de réduction du backlog de vulnérabilités », alors j'ai une excellente nouvelle pour vous : vous n'avez pas rencontré suffisamment de conseils d'administration.

La plupart des conseils d'administration des entreprises ne veulent pas d'un tableau de bord de sécurité. Ils ne veulent pas de mesures de posture. Ils ne veulent pas d'une carte thermique qui ressemble à un briefing de la NASA sur les risques liés au lancement. Ce qu'ils veulent, qu'ils le disent explicitement ou non, c'est une aide à la décision.

Ils veulent un moyen défendable de choisir entre plusieurs scénarios de risques concurrents. Ils veulent savoir s'ils doivent investir dans la mesure d'atténuation A ou B. Ils veulent réduire l'incertitude. Ils veulent éviter une surprise qui mettrait fin à leur carrière, et voici la partie que la plupart des responsables de la sécurité ne veulent pas entendre :

Les conseils d'administration ne financent pas la sécurité parce qu'elle est importante. Ils financent la sécurité lorsque la décision semble rationnelle, limitée et défendable.

Voyons comment y parvenir.

Pourquoi les conseils d'administration ne se soucient pas de la sécurité

Les conseils d'administration ne sont pas contre la sécurité. Ils ne sont ni imprudents ni stupides. Ils sont simplement optimisés, sur le plan structurel, culturel et psychologique, pour mener des discussions axées sur les résultats.

La sécurité est une discipline étrange, car le meilleur scénario possible est qu'il ne se passe rien. Pas de gros titres dans les journaux. Pas de perturbations. Pas de réunions d'urgence. Pas de négociations pour le paiement d'une rançon. Pas d'appels soudains pour demander « comment cela a-t-il pu arriver ? ».

Et « rien ne s'est passé » n'est pas un résultat que le conseil d'administration peut facilement évaluer. C'est un vide. C'est hypothétique. C'est contrefactuel. C'est une histoire fantôme. Le conseil d'administration tombe donc naturellement dans le piège dans lequel tout être humain tombe :

« Rien ne s'est passé jusqu'à présent. »

C'est une logique tragiquement séduisante. C'est aussi l'une des phrases les plus coûteuses de l'histoire des entreprises. Le problème est que l'absence de preuve n'est pas une preuve d'absence. C'est plus souvent une preuve de chance, d'obscurité ou de mauvaise détection. Les conseils d'administration ne sont pas irrationnels dans ce cas. Ils appliquent le même raisonnement qu'ils utilisent ailleurs :

• Si nous expédions, nous enregistrons des revenus.
• Si nous commercialisons, nous voyons le pipeline.
• Si nous embauchons, nous constatons une augmentation du rendement.
• Si nous réduisons les coûts, nous voyons apparaître une marge.

Mais qu'en est-il de la sécurité ? Le critère de réussite est un espace négatif. Donc, à moins que vous ne les aidiez à percevoir cette décision comme concrète et limitée, la sécurité restera toujours reléguée au rang de simple bonus.

Pourquoi « Faites-moi confiance, c'est important » ne fonctionne jamais

Il existe deux présentations courantes en matière de sécurité au niveau du conseil d'administration :

Ces deux approches sont fausses et vouées à l'échec. Les conseils d'administration ne réagissent pas bien à la panique, car la panique n'est pas un plan. La panique est une demande de confiance émotionnelle, et les conseils d'administration sont explicitement conçus pour ne pas fonctionner sur la base des émotions.

Et les conseils d'administration ne réagissent pas bien à un « tout va bien », car ils se demandent alors pourquoi vous avez besoin de plus d'argent. Le RSSI se retrouve coincé entre deux feux : d'un côté, il ne veut pas passer pour un alarmiste, de l'autre, il ne veut pas passer pour un bureaucrate trop gourmand. Vous ne voulez pas que le conseil d'administration ait peur. Vous voulez qu'il ait une vision claire et qu'il ait confiance.

Comment les conseils d'administration envisagent réellement le retour sur investissement et les risques

Les responsables de la sécurité tentent souvent, à tort, de « prouver le retour sur investissement » comme le feraient les services marketing ou commerciaux. Les conseils d'administration ne considèrent pas la sécurité comme ils considèrent les revenus. Ils la considèrent comme ils considèrent les risques, les assurances et la résilience.

Voici le modèle mental simplifié :

• Que font nos concurrents ?
• Quelle est notre perte attendue ?
• Quel est le coût de sa réduction ?
• Quelle est la probabilité ?
• Quel est l'impact ?
• Quelle est l'incertitude ?
• Quel est le pire résultat opérationnel plausible ?

Les cadres de sécurité ont tendance à privilégier la prévention. Ils partent du principe que nous pouvons empêcher les incidents de se produire si nous mettons en place suffisamment de contrôles et achetons suffisamment d'outils. Les conseils d'administration comprennent quelque chose que les équipes de sécurité oublient parfois : la prévention n'est pas binaire. Certaines défaillances sont inévitables. Comme le dit le mantra de la sécurité informatique, la question n'est pas de savoir si vous serez victime d'une violation, mais quand. C'est pourquoi les conseils d'administration financent les assurances, mais résistent à l'augmentation des dépenses en outils de sécurité.

L'assurance est un instrument financier délimité. Elle comprend une prime, une police et un versement. Même si elle ne couvre pas tout, c'est un type de décision familier.

Les investissements dans la sécurité prennent souvent la forme d'engagements à durée indéterminée :

• « Nous avons besoin d'une plateforme. »
• « Nous avons besoin d'un programme. »
• « Nous avons besoin d'une meilleure posture. »
• « Nous avons besoin de plus d'outils. »

Les conseils d'administration entendent : « Nous avons besoin d'un chèque en blanc pour combattre un ennemi invisible à jamais. » Ce n'est pas une demande favorable au conseil d'administration. Le conseil d'administration veut avoir le choix afin de prendre une décision.

Le coût réel d'une violation

La plupart des discussions sur le coût des violations restent superficielles :

• amendes
• règlements judiciaires
• PR

Ces éléments sont importants, mais la réalité opérationnelle est pire et plus pertinente. Le coût réel d'une violation est la réaffectation forcée de votre ressource la plus rare : l'attention des ingénieurs. Un incident majeur ne coûte pas seulement de l'argent. Il perturbe le travail prévu. Il vole des trimestres de développement.

La réponse aux incidents ne consiste pas simplement à « nettoyer le système informatique ». Une véritable réponse aux incidents comprend :

• enquête judiciaire nécessitant la mise hors service des dispositifs de chaîne de contrôle
• actualisation du matériel (car vous ne pouvez pas faire confiance à des terminaux compromis)
• Réinitialisation d'urgence des identités et refonte des accès
• cloud sous la contrainte
• réémission de secrets et de certificats
• revalider les sauvegardes (qui peuvent également être compromises)

C'est compliqué, coûteux et perturbateur (demandez à Caesars ou à 23andMe).

La confiance et la perte de clientèle ne sont pas non plus des notions théoriques. La fidélité est difficile à gagner et facile à perdre, en particulier dans le cas des contrats d'entreprise où les cycles de renouvellement créent une voie de sortie naturelle.

Après une violation, la question n'est pas « comment l'attaquant s'y est-il pris ? », mais « qui savait quoi, et quand ? ». Tout à coup, votre programme de sécurité n'est plus évalué sur ses mérites techniques, mais sur sa défendabilité narrative par des experts en fauteuil.

Ce qui nous amène à une vérité dérangeante :

La première attaque est celle du cybercriminel.
La deuxième attaque est celle de tous les autres.

Comment parler des incidents de violation de données

Les RSSI expérimentés ne s'obsèdent pas sur la probabilité d'une violation. Ils parlent plutôt de la cadence des violations.

Car la question n'est pas de savoir si vous allez un jour être confronté à un incident. La question est :

• À quelle fréquence serez-vous confronté à des compromis ?
• À quelle vitesse allez-vous le détecter ?
• Dans quelle mesure pouvez-vous le contenir ?
• À quelle vitesse pouvez-vous rétablir les opérations ?

Il s'agit d'une approche axée sur la résilience, et non sur la prévention. Et si quelqu'un dit : « Nous n'avons jamais été piratés », la bonne réponse n'est pas de contester cette affirmation, mais de la reformuler avec tact. Plus votre système de détection est sophistiqué, plus vous découvrez d'incidents et de violations. Cela va à l'encontre de l'intuition des dirigeants. En d'autres termes, une meilleure visibilité peut vous faire paraître « moins performant » avant de vous rendre plus sûr.

Les pirates exploitent également beaucoup plus souvent les failles élémentaires en matière d'hygiène que les vulnérabilités zero-day. Le mythe selon lequel les violations nécessitent des adversaires d'élite est réconfortant, mais il est généralement faux. Les pirates modernes agissent rapidement. Le délai moyen d'exploitation se mesure désormais en minutes et en heures, et non plus en jours et en semaines, d'autant plus que l'IA accélère le développement des exploits et l'ampleur du phishing. Votre résilience se définit par votre capacité d'adaptation et non par votre capacité à restaurer des sauvegardes et à revenir à un état antérieur. Car cet état antérieur était la configuration vulnérable qui vous a exposé à la violation en premier lieu.

Les seules métriques de sécurité qui intéressent réellement métriques de sécurité

Les conseils d'administration ne veulent pas d'un tableau de bord. Ils veulent un volant. Alors, quelles sont métriques de sécurité ?

Tendances en matière d'exposition au risque

Ne vous concentrez pas sur le « nombre de vulnérabilités », mais plutôt sur l'évolution de votre exposition et les raisons qui expliquent cette évolution. Présentez toujours vos rapports sous forme de pourcentages et de variations par rapport aux indicateurs du trimestre précédent, et non sous forme de nombre absolu de vulnérabilités.

Délai de détection et délai de correction

Il s'agit de mesures opérationnelles ayant une signification commerciale directe. Incluez les mesures corrigées automatiquement à partir de l'analyse du code pour les secrets partagés, les configurations vulnérables avec votre CSPM, les dérives de configuration et les risques liés à la chaîne d'approvisionnement, comme les récentes attaques NPM Shai-Hulud.

Réduction du rayon d'action de l'explosion

Il s'agit du concept de sécurité le plus pertinent pour le conseil d'administration : le confinement. Il ne s'agit pas de savoir « pouvons-nous éteindre tous les incendies », mais « pouvons-nous empêcher un incendie de cuisine de détruire tout le bâtiment ». 

C'est là que la réflexion hypothétique prend tout son sens. Le blog SRE de Google a popularisé la « roue du malheur » avec des exercices hebdomadaires sur table : des simulations d'incidents structurées et récurrentes. La NASA utilise un concept similaire : le « pré-mortem ». Vous partez du principe que l'échec est inévitable, puis vous remontez le temps pour comprendre comment il va se produire. L'ingénierie du chaos en matière de sécurité est l'évolution de ce concept : des expériences réfléchies autour des états de défaillance, ancrées dans la réalité opérationnelle, et non dans le théâtre.

Les inconnues connues contre les angles morts

Les conseils d'administration peuvent comprendre l'incertitude. Ils ne peuvent pas comprendre « nous avons 13 492 vulnérabilités critiques ». Mais ils peuvent comprendre :

• « Nous ne savons pas si un mouvement latéral est possible entre ces environnements. »
• « Nous ne disposons pas d'une validation objective de notre surface d’attaque externe. »
• « Nous ne savons pas si notre pipeline de détection est capable de détecter le credential stuffing. »

C'est pourquoi les tests d'intrusion réalisés par des tiers sont extrêmement précieux lorsqu'ils sont utilisés correctement. Il ne s'agit pas d'une simple case à cocher, mais d'une découverte objective et d'une validation du mécanisme de risque.

métriques de sécurité nuisent à votre dossier

Parlons maintenant des indicateurs qui font que les conseils d'administration et les cadres supérieurs se désintéressent.

Nombre d'outils

Plus d'outils ne signifie pas plus de sécurité. Chaque outil est en fait un utilisateur privilégié. Chacun d'entre eux fait partie de la surface d'attaque. Chacun d'entre eux ajoute à la complexité opérationnelle. Une maturité approfondie avec quelques outils vaut mieux qu'une mise en œuvre superficielle de dizaines d'outils.

Volumes de vulnérabilité

Toutes les critiques et tous les points forts ne se valent pas. L'essor de la pensée de type EPSS le montre clairement : seul un faible pourcentage des vulnérabilités est exploité dans les violations réelles. Les mesures basées sur le volume brouillent les priorités.

Total des niveaux de gravité CVE

La gravité n'est pas synonyme d'exploitabilité. L'accessibilité et le contexte sont plus importants. Les conseils d'administration ne veulent pas financer une guerre des chiffres, car elle est tout simplement impossible à gagner.

Pourcentages de conformité atteints

Toutes les entreprises victimes d'une violation avaient fait l'objet d'audits et disposaient de rapports de conformité. La conformité est un objectif facile à atteindre. Le véritable objectif est la sécurité. Lorsque les RSSI présentent ces indicateurs au conseil d'administration, c'est souvent parce que ce sont les plus faciles à produire. Mais facile ne signifie pas pour autant convaincant.

Utiliser les POC pour transformer les risques hypothétiques en preuves

L'un des outils les plus efficaces dont dispose un responsable de la sécurité est la validation de principe rémunérée. Non pas comme une compétition entre fonctionnalités, mais comme une expérience de découverte structurée. Une bonne validation de principe est sans risque pour le conseil d'administration, car elle produit des preuves sans semer la panique. Elle peut :

• problèmes critiques de surface inconnus
• vérifier si une description du risque est réelle
• réduire l'incertitude entourant les contrôles actuels
• fournir une base défendable pour l'investissement

La clé est de considérer cela comme une expérience commerciale :

• Définissez l'hypothèse.
• Définissez les critères de réussite.
• Définissez le délai.
• Définissez ce que signifie « non ».

Vous pouvez ensuite retourner voir le conseil d'administration et dire : « Nous avons procédé à une évaluation limitée. Voici ce que nous avons appris. Voici les options décisionnelles. » Les conseils d'administration adorent les décisions limitées.

Allocations budgétaires après une violation

Il existe un schéma tragique dans le domaine de la sécurité : violation → « je vous l'avais bien dit » → budget débloqué.

Mais c'est un cadeau empoisonné. Car le RSSI post-violation reçoit souvent les ressources que le RSSI pré-violation avait réclamées et qui lui avaient été refusées. Et le RSSI pré-violation est souvent remercié. Ce n'est pas seulement injuste, c'est aussi préjudiciable à l'organisation. En raison de la deuxième attaque, les experts en fauteuil, les enquêteurs, les assureurs et les régulateurs détruisent souvent la crédibilité du RSSI, même s'il a bien géré l'incident.

De nombreux RSSI ne survivent pas à la deuxième attaque. Et puis, la planification de la relève, ou son absence, ouvre une toute nouvelle fenêtre de vulnérabilité. Les acteurs malveillants le savent. Ils en profitent. Ils exploitent le chaos lié au changement de direction. Vous pouvez vous retrouver à mener une guerre sur deux ou trois fronts :

• attaquants opportunistes
• crime organisé
• instabilité organisationnelle interne

Pour éviter ce piège, il faut mettre en place un système d'aide à la décision au niveau du conseil d'administration avant la violation.

Comment répondre aux objections courantes

Les dirigeants et les conseils d'administration ont un petit nombre d'objections prévisibles. L'erreur serait de les réfuter comme dans un débat. La bonne approche consiste à les reformuler comme une décision. Vous devriez également vous assurer de lire l'« Annexe A : Questions que le conseil d'administration doit poser à la direction au sujet de la cybersécurité » du NACD 2017 Board Handbook (Manuel du conseil d'administration 2017 de la NACD) et être prêt à répondre à chacune de ces questions.

« C'est trop cher. »

« Cher » par rapport à quoi ? Par rapport à la perte attendue ? Par rapport au coût des temps d'arrêt ? Par rapport au coût d'opportunité des sprints d'ingénierie et des livrables détournés ?

« Nous avons déjà quelque chose. »

Il s'agit d'une objection aveugle qui fait généralement référence aux services groupés de votre abonnement Microsoft 365. Ne discutez pas du remplacement, mais expliquez plutôt que Microsoft Defender est nécessaire, mais pas suffisant. Parlez des résultats :

• Que pouvons-nous détecter ?
• Que pouvons-nous prévenir ?
• Que pouvons-nous contenir ?
• Que ne savons-nous pas ?

« Nous sommes déjà conformes. »

La conformité n'est pas une réduction des risques. C'est la preuve que vous avez rempli une liste de contrôle. Ce n'est pas la preuve que vous pouvez survivre à un incident.

« Nous allons le construire en interne. »

Les décisions relatives à la construction interne doivent inclure :

• charge de maintenance
• coûts de formation pour les nouveaux employés
• coût d'opportunité
• risque lié à la propriété à long terme

La décision de développer ou d'acheter doit tenir compte du fait qu'il s'agit ou non d'une compétence fondamentale. Les outils de sécurité ne sont pas un « projet ponctuel ». Il s'agit d'un engagement opérationnel et d'un parcours. Pendant de nombreuses années, la gestion des systèmes de messagerie électronique d'entreprise était assurée par une équipe informatique composée de plusieurs personnes. Aujourd'hui, elle est en grande partie externalisée à Microsoft et Google, avec des résultats bien meilleurs en matière de sécurité et des coûts réduits. Phil Venables m'a un jour confié que son plus grand regret lorsqu'il était responsable de la sécurité chez Goldman Sachs était que l'entreprise avait internalisé beaucoup trop de ses capacités simplement parce qu'elle en avait les moyens. Et non parce que c'était la bonne chose à faire.

« Nous utiliserons l'open source. »

L'open source est sans aucun doute excellent et digne de confiance. Mais les conseils d'administration doivent comprendre la différence entre :

• capacité
• fiabilité
• responsabilité

L'open source vous fournit du code. Il ne vous offre aucune garantie de service ni aucun « responsable à qui s'en prendre ».

« Les tests d'intrusion suffisent. »

Les tests d'intrusion sont des instantanés ponctuels, souvent réalisés une seule semaine par an. Les conseils d'administration devraient exiger une gestion continue des risques.

« Cela ne nous affectera pas / Nous ne serons jamais piratés. »

La confiance est une hypothèse. Les hypothèses doivent être validées. C'est là que les directives en matière de gouvernance du conseil d'administration prennent toute leur importance. Le conseil d'administration n'a pas besoin de devenir technique. Mais il doit être capable de prendre des décisions concernant les risques informatiques et les perturbations commerciales afin de comprendre la nature des risques liés à la cybersécurité en tant que risques systémiques.

À quoi ressemble un dossier d'investissement en matière de sécurité prêt à être présenté au conseil d'administration ?

À quoi ressemble donc un investissement crédible dans la sécurité ?

Définition claire des risques et cadre pertinent

Le choix du cadre est important. Certains cadres sont obsolètes et peu adaptés aux entreprises cloud. L'une des pires choses que vous puissiez faire est de laisser votre organisation s'installer sur des critères de mesure dépassés. Les contrôles CIS Top Controls font partie des meilleurs cadres de cybersécurité, car ils sont régulièrement mis à jour et suivent le rythme des innovations et des techniques cloud.

Réduction mesurable de l'incertitude

La sécurité ne se résume pas à des contrôles. Elle consiste à réduire l'ambiguïté. Et voici la citation sur le leadership que je voudrais que tous les cadres mémorisent :

« En tant que managers, nous exécutons un plan,
en tant que leaders, nous gérons la rareté, et
en tant que cadres, nous gérons l'ambiguïté. »

Les conseils d'administration gèrent l'ambiguïté. Votre travail consiste à les aider à la réduire en leur présentant le contexte et les données.

Évaluation dans un délai déterminé avec retour sur investissement qualitatif

Ne vous perdez pas dans les calculs. Restez au niveau conceptuel. « À quoi ressemble le succès dans 90 jours ? Dans 6 mois ? » Quand la solution sera-t-elle rentabilisée grâce à la réduction des coûts ou à la mise hors service d'un outil obsolète qui n'assure plus efficacement les contrôles de sécurité et la prévention des risques ?

Critères de réussite définis

Exigences fonctionnelles et non fonctionnelles :

• disponibilité
• confidentialité
• intégrité
• frais généraux opérationnels
• impact sur la résilience

C'est ainsi que vous présentez la demande sous une forme que le conseil d'administration peut approuver sans avoir l'impression de s'engager dans une entreprise hasardeuse.

L'erreur que commettent les RSSI lorsqu'ils s'adressent aux conseils d'administration

La plus grande erreur commise par les RSSI est de penser que le conseil d'administration financera la sécurité parce qu'elle est importante. Les conseils d'administration ne financent pas l'importance. Ils financent les décisions défendables. L'objectif n'est donc pas de les impressionner par la complexité du paysage des menaces.

L'objectif est de leur proposer un compromis raisonnable et limité :

• Voici les différents scénarios possibles.
• Voici ce que nous savons.
• Voici ce que nous ne savons pas.
• Voici les options.
• Voici le coût.
• Voici ce qui changera si nous agissons.
• Voici ce qui reste incertain si nous ne le faisons pas.

Lorsque vous faites cela, le conseil d'administration peut faire son travail. Et, ironiquement, c'est à ce moment-là qu'il commence à se soucier de la sécurité.

La stratification des rythmes et les raisons pour lesquelles la gouvernance évolue lentement

Les bons programmes de sécurité fonctionnent à plusieurs niveaux de changement. Le modèle de stratification des rythmes de Stuart Brand est utile ici :

• Mode
• Commerce
• Infrastructure
• Gouvernance
• Culture
• Nature

La technologie évolue rapidement, tout comme la mode. La gouvernance évolue lentement, et cette lenteur n'est pas un problème à résoudre. C'est la couche de stabilité qui empêche les entreprises de s'effondrer. Si vous voulez que le conseil d'administration agisse, vous devez parler en termes de gouvernance : décisions limitées, ambiguïté réduite, compromis défendables. Car parler au conseil d'administration est la partie la plus facile.

Ce qui est difficile, c'est d'apporter une valeur ajoutée à leur réflexion.